情シスの6割がクラウドサービスのセキュリティに不安 解決すべき課題は

セキュリティ評価プラットフォームを提供するアシュアードは、従業員数1000人以上を有する大手企業の情報システム部門に所属する300人を対象としたクラウドサービスのセキュリティ評価に関する調査を実施した。

[キーマンズネット]

　SaaSやASP（Application Service Provider）などのクラウドサービスは、生産性向上やイノベーション創出への寄与が期待される。一方で、SaaS事業者に対するサイバー攻撃被害も多発するなど、セキュリティ脅威が拡大している。

　こうした事態を受け、2023年3月には経済産業省は「サイバーセキュリティ経営ガイドライン」に、クラウドサービスを含むサプライチェーンの安全性確保に関する項目を追加した。また同年7月には、情報処理推進機構（IPA）は「クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査」を公開し、SaaS事業者のセキュリティ情報開示における課題や利用者が適切なサービス選定ができていない点を懸念した。

　そこで、セキュリティ評価プラットフォームを提供するアシュアードは2023年7月、従業員数1000人以上を有する大手企業の情報システム部門に所属する300人を対象としたクラウドサービスのセキュリティ評価に関する調査を実施した。

6割の企業がクラウドサービスのセキュリティに不安

　本調査では、企業の69.7％が「今後クラウドサービスの利用を拡大する予定がある」と回答した。

図1　クラウドサービスの利用状況（出典：アシュアードのプレスリリース）

　一方、「利用拡大予定」と回答した企業のうち61.3％が「クラウドサービスの利用に対して不安を感じている」と回答した。具体的には、クラウドサービスに対するサイバー攻撃による被害への不安が多く、システム停止や情報漏えい、システムの改ざんに懸念がある。

図2　クラウドサービス利用時の不安（出典：アシュアードのプレスリリース）

　また69.6％の企業が、自社で利用するクラウドサービスにセキュリティ評価を実施していることが分かった。理由としては、「リスクを未然に防ぐ・軽減するため」（69.9％）、「コンプライアンスとして定められているから」（52.2％）、「顧客からの信頼を保つため」（39.2％）などが挙がった（複数回答）。

図3　セキュリティ評価の実施状況（出典：アシュアードのプレスリリース）

　一方で、87.1％が自社のセキュリティ評価に課題を感じていることが分かった。具体的には、「評価項目の正確性／網羅性」（37.8％）「適切に（正しく）評価出来ているか不安」（34.4％）「利用（申請）部門の対応負荷が大きい」（22.5％）などの課題が挙がった（複数回答）。

図4　クラウドサービスのセキュリティに対する課題（出典：アシュアードのプレスリリース）

　この状況に対して、96.7％が「セキュリティ評価に関わる課題を解決したい」と考えているものの、73.1％が「具体的な対策の予定がない状況」である。

図5　セキュリティの課題を具体化できているかどうか（出典：アシュアードのプレスリリース）

　評価の精度や工数に課題を感じながらも、解決策が見つからないまま現状の体制で対応せざるを得ない状況が分かる。また、セキュリティ評価のための情報収集では、60.8％がセキュリティチェックシートを活用していることが分かった。

図6　（出典：アシュアードのプレスリリース）

　セキュリティチェックシートに対しては、84.3％が課題を感じており、具体的には「リスクを網羅的に確認出来ているか分からない」（51.2％）、「クラウドサービス事業者とのやり取りに工数がかかる」（46.5％）、「社内の利用部門とのやり取りに工数がかかる」（41.7％）が挙がった（複数回答）。

図7　（出典：アシュアードのプレスリリース）

　多くの企業でセキュリティ評価にセキュリティチェックシートが利用されているが、その情報の精度や工数に課題を感じている人が多いことが分かる。